[pyar] Auth entre servidor / cliente usando https y evitar robo de info en el medio ...
Daniel Moisset
dmoisset en machinalis.com
Lun Ene 17 11:11:00 ART 2011
2011/1/17 Emiliano Dalla Verde Marcozzi <edvm en airtrack.com.ar>
> Buenas querida lista,
>
> Tengo que transferir datos entre cliente servidor, servidor cliente y
> tratar de que
> no me roben info en el medio (...)
Ok, si se me meten en el medio de la sesión https, podrian ver el user y
> passwd, bad ...
>
https esta bastante bien hecho, y no se te pueden meter transparentemente al
medio si haces las cosas bien. Es decir, armar un certificado de una CA,
firmar con ese el certificado que usas en el server, y poner la clave
publica de la CA en los clientes. Si no sabes quienes vas a ser los
clientes, podes pedir una firma de una CA conocida, pero te la van a cobrar.
Si no, estas reinventando la rueda de oido, cosa que en seguridad suele ser
mala idea :)
En particular, el esquema que propones es la misma idea que SSL, y lo estas
haciendo sin firmas o sea que estas expuesto a exactamente el mismo tipo de
ataque de man in the middle que estabas queriendo evitar inicialmente.
Saludos,
D.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20110117/fe3b7cc8/attachment.html>
More information about the pyar
mailing list